Motorg ry tiedottaa: Vaihtakaa salasananne

[Makeka]

Kuten osa teistä on huomasikin, sivustollemme murtauduttiin 20.5.2015. Murron jäljet on siivottu ja sivusto toimii jälleen normaalisti. Salasanat joita murrossa kenties kalasteltiin ovat salattu mutta salauksesta huolimatta pyydämme vaihtamaan sivuston salasanan. Jos käytät muissa instansseissa samaa salasanaa, suosittelemme vaihtamaan salasanan näissäkin paikoissa.

Salasanan vaihdon ohje:
1. klikkaa sivuston yläreunassa olevaa nickiäsi
2. valitse muokkaa välilehti
3. syötä vanha salasanasi (jos et muista sitä, seuraa pyydä uutta salasanaa linkkiä)
4. syötä uusi salasana, vahvista se
5. scrollaa sivun alalaitaan, tallenna.

Huolestuneille tiedoksi, tällä sivustolla ei ole luottokorttitietoja, eivätkö ne käy täällä edes kääntymässä kauppaa käytettäessä.

Lisää keskustelua aiheesta Täällä

[BOMBARIDER]

Vaan kun ei pysty.

HUPS! SINULLAPAS EI OLLUTKAAN OIKEUKSIA TÄNNE! (VIRHE 403)

Näin sanoo.

[Makeka]

Olitko foorumin puolella vai etusivun puolella? kokeiletko vielä toisella?

[BOMBARIDER]

Foorumin puolella.

Etusivun puolella en ole kirjautuneena sisään.

[Makeka]

Foorumin puolella.

Etusivun puolella en ole kirjautuneena sisään.

Ok, kirjaudu etusivun puolella, sitten pitäisi onnistua.

[BOMBARIDER]

Nyttoimii

[Roark]

Vaihdoin salasanani, mutta en päässyt kirjautumaan enää uudella salasanalla. Vanhan toki ehdin korvata avainnipusta, mutta ainakaan muistini mukainen vanha passu ei kelvannut.
Tilasin kertakäyttökirjautumismailin ja vaihdoin salasanan uudestaan, jos vaikka olisin typottanut. Ei toiminut, kokeilin uudestaan, eikä toimi vieläkään. Olen siis nyt sisällä tällä tokalla kertakäyttömailitunnarilla.

Salasanan vaihdettuani hallintapaneelisivu sanoo, että tiedot tallennettu onnistuneesti, mutta sivun ylälaidassa on punaisessa boksissa virheilmoitus

Warning: getimagesize(http://www.moottoripyora.org/sites/d...08615953.jpg): failed to open stream: HTTP request failed! HTTP/1.0 500 Internal Server Error funktiossa drupalvb_update_user() (rivi 551 tiedostossa /var/www/html/sites/all/modules/luxus/drupalvb/drupalvb.inc.php).
Warning: filesize(): stat failed for public://styles/thumbnail/public/pictures/picture-122540-1408615953.jpg funktiossa drupalvb_update_user() (rivi 552tiedostossa /var/www/html/sites/all/modules/luxus/drupalvb/drupalvb.inc.php).
Warning: file_get_contents(http://www.moottoripyora.org/sites/d...08615953.jpg): failed to open stream: HTTP request failed! HTTP/1.0 500 Internal Server Error funktiossa drupalvb_update_user() (rivi 554 tiedostossa /var/www/html/sites/all/modules/luxus/drupalvb/drupalvb.inc.php).

[timppan]

Käytännössä sama virheilmoitus; salasanan vaihto kuitenkin onnistui ja uusi toimii.

Vaihdoin salasanani, mutta en päässyt kirjautumaan enää uudella salasanalla. Vanhan toki ehdin korvata avainnipusta, mutta ainakaan muistini mukainen vanha passu ei kelvannut.
Tilasin kertakäyttökirjautumismailin ja vaihdoin salasanan uudestaan, jos vaikka olisin typottanut. Ei toiminut, kokeilin uudestaan, eikä toimi vieläkään. Olen siis nyt sisällä tällä tokalla kertakäyttömailitunnarilla.

Salasanan vaihdettuani hallintapaneelisivu sanoo, että tiedot tallennettu onnistuneesti, mutta sivun ylälaidassa on punaisessa boksissa virheilmoitus

[Mrvexin]

Sama virhe tuli myös kun tein ipad:llä SS vaihdon. Kokeilin sen jälkeen pc:llä ja uusi salasana toimi, nyt myös ipad:llä kirjauduttu uudella.

[Betula]

Salasanan vaihto onnistu ja uusi toimi kerrasta.
Sama virheilmoitus tuli minullakin näkyviin, mutta ei sillä vissiin ollut mitään merkitystä? Ipadillä tehty tämä

[Bren]

Voisiko tästä salasanojen vaihdosta laittaa sen keltaisen huomiorivin tuonne sivujen ylälaitaan? Se pistää vähän paremmin silmiin sieltä. Mikä muuten on ylläpidon arvio sille, että profiilitiedoissa jäsenillä lukevat täydelliset nimi- ja osoitetiedot ovat levinneet murtautujien matkassa maailmalle?

[Roark]

Kuten tavallista, ongelma oli mitä ilmeisimmin käyttäjässä.
Kotikoneella pääsin uudella salasanalla kirjautumaan ihan sujuvasti; ilmeisesti onnistuin töissä typottamaan uutta salasanaa luodessa ja perään kirjautuessa aina jotenkin väärin.
Pahoitteluni jos ylläpito tuhlasi aikaa asian kanssa.

[Jote]

Minkä takia tästä ei ole tiedotettu sähköpostitse jokaiselle foorumin käyttäjälle, lähetetty viesti jokaisen yksityisviestilootaan ja merkitty kissan kokoisin kirjaimin sivuston ja foorumin etusivuille? Yleensä kun tietomurto tapahtuu, niin asiaan tartutaan reippaasti mahdolliset vahingot minimoiden. Harvemmin näkee näin vetelää toimintaa.

[Lumumba]

Salasanan vaihto ei onnistu. samoja ongelmia kuin edellisilläkin. Päästää kyllä muuttamaan kertakäyttösalasanan pyynnön jälkeen, muttei mene läpi, vaan tulee noita HUPSeja ja herjaa Ongelmatilanteessa....

Ei oikein vakuuta tuo järjestelmän toiminta.

T: HLu (Lumumba)

[Hannula]

Sivustolla on sellaista ikuisuusvikaa, että joutuu kirjautumaan sisään kahteen kertaan: kohtaan "keskustelu" ja sitten toisen kerran jossakin muussa kohtaa. Kun salasana on vaihdettu, sivusto herjaa "Hups, sinulla ei ole oikeuksia blaa blaa", mutta siitä ei pidä nolostua vaan kirjautua sillä uudella salasanalla mustasta palkista uudelleen sisään. Tästä ei pääsä eroon ennen kuin koko hevonpaska on hävitetty ja tehty uutta tilalle.

[tonttuj]

Suurin osa taitaa itse mähliä sen uuden salasanan ja kirjoitella sitä jotenkin väärin.
Duunissa kuulee ja näkee samaa jatkuvasti samaa, se uusi salasana pitää aina hakata hirveällä kiireellä ja typot yllättää.

[Z-man]

Jos kerta tiedot on menetetty niin miksi ette forceta salasanojen vaihtoa eli nollaa kaikkien salasanan ja lähetä uutta sähköpostiin? Ja joku tieto siitä kirjautumisen yhteyteen...

[raich]

Minkä takia tästä ei ole tiedotettu sähköpostitse jokaiselle foorumin käyttäjälle, lähetetty viesti jokaisen yksityisviestilootaan ja merkitty kissan kokoisin kirjaimin sivuston ja foorumin etusivuille? Yleensä kun tietomurto tapahtuu, niin asiaan tartutaan reippaasti mahdolliset vahingot minimoiden. Harvemmin näkee näin vetelää toimintaa.

Jos kerta tiedot on menetetty niin miksi ette forceta salasanojen vaihtoa eli nollaa kaikkien salasanan ja lähetä uutta sähköpostiin? Ja joku tieto siitä kirjautumisen yhteyteen...

No näinpä. Eihän asioita tällä tavalla voi hoitaa, haloo.

[tumb1]

Suurin osa taitaa itse mähliä sen uuden salasanan ja kirjoitella sitä jotenkin väärin.
Duunissa kuulee ja näkee samaa jatkuvasti samaa, se uusi salasana pitää aina hakata hirveällä kiireellä ja typot yllättää.

Kyllä. Tuollaisen vastauksen saa aina kun soittaa asiakaspalveluun jossa on töissä työhönsä kyrpiintynyt ihminen.

Foorumissahan ei voi mitään vikaa olla. Ei, ei.

Ja mallikkaasti hoidettu tiedottaminen eteenpäin. Laittakaa nyt helvetti tämä edes nastalla pysymään etusivulla uusimmissa keskusteluissa tai laittakaa tiedote jokaiselle aihealueelle.

[Wolff]

Vaihdoin salasanani, avatar ei latautunut profiili-sivulla ja salasanan vaihdon jälkeen tuli virheilmo:

Warning: getimagesize(http://www.moottoripyora.org/sites/d...23486092.png): failed to open stream: HTTP request failed! HTTP/1.0 500 Internal Server Error funktiossa drupalvb_update_user() (rivi 551 tiedostossa /var/www/html/sites/all/modules/luxus/drupalvb/drupalvb.inc.php).
Warning: filesize(): stat failed for public://styles/thumbnail/public/pictures/picture-117723-1423486092.png funktiossa drupalvb_update_user() (rivi 552 tiedostossa /var/www/html/sites/all/modules/luxus/drupalvb/drupalvb.inc.php).
Warning: file_get_contents(http://www.moottoripyora.org/sites/d...23486092.png): failed to open stream: HTTP request failed! HTTP/1.0 500 Internal Server Error funktiossa drupalvb_update_user() (rivi 554 tiedostossa /var/www/html/sites/all/modules/luxus/drupalvb/drupalvb.inc.php).

[zapster]

Kyllä, tietomurto tapahtui.

Mukaansa hakkerit saivat tietokantamme, jotka sisältävät käyttäjätunnukset, nimet ja osoitteet sekä salasanat kryptatussa ja sekoitetussa muodossa. Näillä tiedoilla ei pysty ihmeempiä tekemään eivätkä nämä tiedot hakkereita juurikaan kiinnosta.

Kuten aiemmin jo kerroimme sivustolla ei ole tallessa esim. luottokorttien numeroita tai muuta arkaluontoista, esim. kaupan maksut menevät välittäjän kautta suojatulla yhteydellä. (Paytrail)

Foorumi on nyt putsattu ja tarkistuksia jatketaan edelleen, puhdistustyö kesti pitkään koska haittaohjelmia on hankala löytää koodin seasta ja puhdistus piti tehdä manuaalisesti.

Hankalan murrosta teki se että samaan aikaan meillä oli ongelmia kehityspalvelimen kanssa josta ei saatu tuotua foorumin backuppeja tuotantoon. Kehityspalvelin on nyt siirretty toiseen paikkaan vastaavan tilanteen välttämiseksi. Tuomme päivitetyt ohjelmistot tuotantoon heti kun ne on testattu kehityspalvelimella. Tulemme myös parantamaan proseduureja ylläpidon ja tiedotuksen osalta tämän kaltaisissa tilanteissa.

Terveisin

Petteri Laaksonen
Puheenjohtaja
Motorg Ry

[dmachine]

Kyllä, tietomurto tapahtui.

Mukaansa hakkerit saivat tietokantamme, jotka sisältävät käyttäjätunnukset, nimet ja osoitteet sekä salasanat kryptatussa ja sekoitetussa muodossa. Näillä tiedoilla ei pysty ihmeempiä tekemään eivätkä nämä tiedot hakkereita juurikaan kiinnosta.
...

Kryptausten purkuun löytyy keinoja. Bruteforce ja tarpeeksi aikaa, jos ei muuta. Tällä tavalla esimerkiksi itse selvitin bitcoin-lompakkoni salasanan, joka oli jäänyt vuosien saatossa unohduksiin. Asian selvittelyyn meni parisenkymmentä riviä koodia ja viitisen minuuttia googlailua. Asiansa osaavilla on varmasti muitakin työkaluja käytössä.

Täydellisten nimi- ja osoitetietojen avulla voidaan tehdä yllättävänkin paljon kiusaa. Jos esimerkiksi paypal- tai muu vastaava maksutili on avattu samalla sähköpostilla, niin monesti tiliin pääsee käsiksi osoitetietojen avulla. Tähän varmaan joku tulee itkemään, että foliopipoilua ja todennäköisyys lähenee nollaa. Itku on aiheellista aina siihen asti kunnes joku huomaakin paypal-tilillään muutaman tonnin edestä ostoja. Vähän sama kuin maksukortin kopioiminen maksuautomaatilla, tai maksupäätteellä. Eipä sekään ketään kosketa, kunnes se koskettaa.

Tilanteen vähättely on mielestäni perseestä.

[Jantunen]

Kryptausten purkuun löytyy keinoja. Bruteforce ja tarpeeksi aikaa, jos ei muuta. Tällä tavalla esimerkiksi itse selvitin bitcoin-lompakkoni salasanan, joka oli jäänyt vuosien saatossa unohduksiin. Asian selvittelyyn meni parisenkymmentä riviä koodia ja viitisen minuuttia googlailua. Asiansa osaavilla on varmasti muitakin työkaluja käytössä.

Täydellisten nimi- ja osoitetietojen avulla voidaan tehdä yllättävänkin paljon kiusaa. Jos esimerkiksi paypal- tai muu vastaava maksutili on avattu samalla sähköpostilla, niin monesti tiliin pääsee käsiksi osoitetietojen avulla. Tähän varmaan joku tulee itkemään, että foliopipoilua ja todennäköisyys lähenee nollaa. Itku on aiheellista aina siihen asti kunnes joku huomaakin paypal-tilillään muutaman tonnin edestä ostoja. Vähän sama kuin maksukortin kopioiminen maksuautomaatilla, tai maksupäätteellä. Eipä sekään ketään kosketa, kunnes se koskettaa.

Tilanteen vähättely on mielestäni perseestä.

Kryptauksen aukeaminenkin riippuu täysin käytetystä salauksesta. Jos kyseessä oli esim AES-256, pystyn itse ainakin huoletta toteamaan ettei minun salasanaani avata.

[D-Iivil]

Kryptauksen aukeaminenkin riippuu täysin käytetystä salauksesta. Jos kyseessä oli esim AES-256, pystyn itse ainakin huoletta toteamaan ettei minun salasanaani avata.

Eiköhän ne ole olleet vain md5-summattuja, ilman suolaa luonnollisesti

[Jantunen]

Eiköhän ne ole olleet vain md5-summattuja, ilman suolaa luonnollisesti

Silloin tilanne on toki paljon mauttomampi

[shyhander]

Mä vaihdoin salasanan ja tuli tällaiset kaksi ilmoitusta… (liitteessä)

[sami1024]

Vaikka ylläpito on epäilemättä oppinut tästä asiasta paljon, ja tehnyt sinänsä hyvää työtä siinä, ettei foorumille kirjoitettua sisältöä kadonnut (tai "jouduttu" kadottamaan), niin nostaisin esiin muutaman asian.

Yksi niistä on jälkitiedottamisen tarkkuus. Vaikka ajalla ei tässä nimenomaisessa tapauksessa olekaan kovin oleellista merkitystä, niin on se nyt vähän noloa, että tiedotetaan murron tapahtuneen 20.5., ja sitten linkitetään siihen viestiketju josta käy ilmi, että murron näkyvistä tunnusmerkeistä etusivulla on ilmoitettu jo 16.5.

Toinen asia on käyttäjän itsensä vastuu omista tiedoistaan.

Jos joku nyt vuosien julkisen jankkauksen jälkeenkin edelleen käyttää samaa salasanaa ja mahdollisesti myös samaa käyttäjätunnusta useissa nettipalveluissa, niin voi kyllä mennä peilin eteen ruoskimaan itseään omasta tyhmyydestään. Se nyt vaan on väistämätön tosiasia, että näistä ilmaisista suurien massojen käytössä olevista foorumi/www-julkaisualustoista löytyy jatkuvasti kriittisiä haavoittuvuuksia, joiden kautta ne on enemmän tai vähemmän helppo murtaa. Edes se ei auta että alusta päivitettäisiin ylläpidon toimesta heti kun uusi versio julkaistaan, koska myös ennestään tuntemattomien haavoittuvuuksien kautta hyökkäyksiä tapahtuu.

Lisäksi omaa tietoturvaansa voi parantaa sillä, että rekisteröityy näihin "turhanpäiväisiin" nettifoorumeihin eri sähköpostiosoitteella kuin "tärkeisiin" palveluihin, joista esimerkkinä toimikoon vaikka tuo mainittu Paypal tai muut rahaa/luottokorttitietoja sisältävät palvelut. Tällöin murtotapauksessa sähköpostiosoitetta ei voi hyödyntää kuin ehkä roskapostin kohteena, ja tarvittaessa foorumille voi vaihtaa uuden mailiosoitteen ja sulkea vaikka koko vanhan vuodetun osoitteen pysyvästi. Nykyisenä ilmaispostien aikana tämä järjestely ei vaadi ihan kauheaa panostusta, ja ainakin hotmailissa tarvittaessa homma hoituu useiden postilaatikoiden sijasta myös postialiaksilla.

[sami1024]

Mä vaihdoin salasanan ja tuli tällaiset kaksi ilmoitusta… (liitteessä)

Tuo virhe näyttää koskevan teitä joilla on avatar-kuva käytössä, siitä ei tarvinne tässä kohtaa välittää kun avatar kuitenkin edelleen näyttää toimivan ja salasanan vaihtokin ilmeisesti onnistuu.

[shyhander]

Näin vaikuttaa olevan.

Todennäköisesti tälläkään ei ole mitää sen kummempaa informaatioarvoa, mutta kun tää Macci ja Safari (nettiselain) osaa haistella jotenkin nettisivujen käyttäjätunnus- ja salasanakentät ja täyttää ne automaattisesti sekä ehdottaa tyhjään salasanakenttään automaattisesti jotain kryptistä salasanaa jonka se käyttäjätunnuksen kera tallentaa "Safarin muistiin", niin jostain syystä Safariin tallentuu moottoripyora.org:ssa sähköpostiosoite + foorumin salasana eikä nikki + salasana. Eli jos kirjaudun ulos, ja sitten meen kirjautumaan takaisin sisään, niin se ehdottaa että mun nikki onkin sama kun mun sähköpostiosoite. Periaatteessa tämä ei kai ole kummoinenkaan juttu, mutta silti mun kulmakarva toisessa silmässä nousee. Tää ei sinänsä haittaa, koska Safarin asetuksessa voi helposti korjata tuon automaattisen nikin + salasanan haluamakseen.

[TuttiX2]

Yks asia mikä minua ärsyttää on että edes kirjautumis-sivu ei ole https/ssl-salattu, vaan ihan perus kryptaamaton http. Tosi mukava kirjautua avoimista langattomista verkoista kun kuka vaan voi napata tunnuksen ja salasanan.

Hoitakaa nyt se SSL edes kirjautumis-sivulle, ei vaadi paljon !!